Recentemente Mozilla anunciou o lançamento de um novo mecanismo de detecção de certificado revogação chamado "CRLite" e que é encontrado nas versões noturnas do Firefox. Este novo mecanismo permite organizar uma verificação revogação efetiva do certificado em um banco de dados hospedado no sistema de um usuário.
A verificação do certificado usada até agora com o uso de serviços externos baseados No protocolo OCSP (Protocolo de Status de Certificado Online) requer acesso garantido à rede, o que leva a um atraso perceptível no processamento da solicitação (em média 350 ms) e tem problemas de confidencialidade (os servidores que respondem às solicitações OCSP obtêm informações sobre certificados específicos, que podem ser usados para julgar quais sites um usuário abre).
também existe a possibilidade de verificação local contra CRL (Lista de revogação de certificado), mas a desvantagem deste método é o grande tamanho dos dados baixados: Atualmente, o banco de dados de revogação de certificados ocupa cerca de 300 MB e seu crescimento continua.
O Firefox tem usado a lista negra centralizada OneCRL desde 2015 para bloquear certificados comprometidos e revogados por autoridades de certificação, juntamente com o acesso ao serviço de navegação segura do Google para determinar possíveis atividades maliciosas.
OneCRL, como CRLSets no Chrome, atua como um link intermediário que agrega listas CRL de autoridades de certificação e fornece um único serviço OCSP centralizado para verificar certificados revogados, tornando possível não enviar solicitações diretamente às autoridades de certificação.
Por padrão, se não for possível verificar através do OCSP, o navegador considera o certificado válido. Assim se o serviço não estiver disponível devido a problemas de rede e restrições de rede interna ou que pode ser bloqueado por invasores durante um ataque MITM. Para evitar esses ataques, a técnica Must-Staple é implementada, que permite que o erro de acesso do OCSP ou a inacessibilidade do OCSP sejam interpretados como um problema com o certificado, mas esse recurso é opcional e requer registro especial do certificado.
Sobre o CRLite
CRLite permite que você traga informações completas sobre todos os certificados revogados em uma estrutura facilmente renovável apenas 1 MB, tornando possível armazenar todo o banco de dados CRL do lado do cliente. O navegador poderá sincronizar diariamente a sua cópia dos dados dos certificados revogados e esta base de dados estará disponível em qualquer condição.
CRLite combina informações de Transparência de certificado, o registro público de todos os certificados emitidos e revogados e os resultados da varredura de certificados da Internet (várias listas CRL de centros de certificação são coletadas e informações sobre todos os certificados conhecidos são adicionadas).
Os dados são compactados usando filtros Bloom, uma estrutura probabilística que permite uma falsa determinação do item ausente, mas exclui a omissão de um item existente (ou seja, com alguma probabilidade, falsos positivos são possíveis para um certificado válido, mas certificados revogados são garantidos para serem detectados)
Para eliminar alarmes falsos, o CRLite introduziu níveis adicionais de filtro corretivo. Depois que a estrutura é construída, todos os registros de origem são listados e alarmes falsos são detectados.
Com base nos resultados desta verificação, é criada uma estrutura adicional que se espalha sobre a primeira e corrige qualquer alarme falso que tenha surgido. A operação é repetida até que os falsos positivos sejam completamente excluídos durante a verificação.
Usualmenteal, para cobrir completamente todos os dados, a criação de 7 a 10 camadas é o suficiente. Uma vez que o estado da base de dados devido à sincronização periódica está ligeiramente aquém do estado atual da CRL, a verificação de novos certificados emitidos após a última atualização da base de dados CRLite é realizada usando o protocolo OCSP, incluindo o uso da técnica de grampeamento OCSP.
A implementação de CRLite da Mozilla é lançada sob a licença MPL 2.0 gratuita. O código para gerar o banco de dados e os componentes do servidor são escritos em Python e Go. As partes do cliente adicionadas ao Firefox para ler dados do banco de dados são preparadas na linguagem Rust.
fonte: https://blog.mozilla.org/